Det nye EU-direktivet har ikke ført til de helt store omveltningene for norske verdipapirforetak, men MiFID II inneholder en rekke skjerpinger og tillegg du bør være oppmerksom på.
Selv om MiFID II markerte en betydelig endring i regelverket har ikke det omfattende direktivet ført til altfor store omveltninger for verdipapirforetak her til lands.
Vi har lenge hatt solid lovgivning på dette området – gjennom blant annet verdipapirhandelloven og personopplysningsloven – som har sørget for at de fleste aktørene på norske markedet har hatt et relativt strengt compliance-regime å forholde seg til fra før av.
Likevel innebærer det nye regelverket at det finnes enkelte fallgruver du må være obs på. Kravene har blitt strengere på flere områder, og det er blitt flere ting å passe på.
Flere ting å passe på
Den nye MiFID II-forskriften trådte i kraft 1. januar 2018 og inneholder en rekke skjerpinger og tillegg i forhold til verdipapirhandelloven.
Det er blitt flere ansatte som det skal gjøres opptak av, flere typer samtaler som skal loggføres, mer informasjon som skal lagres og flere kanaler å holde styr på.
I denne artikkelen gir jeg deg fem smarte steg du kan følge for å sikre at ditt selskap følger beste praksis for loggføring av kundesamtaler i henhold til MiFID II.
Steg 1: Gå gjennom eksisterende rutiner for compliance
Selskapet ditt har sannsynligvis allerede rutiner på plass for god etterlevelse i henhold til gjeldene lover og forskrifter.
Det første du bør gjøre for å følge beste praksis er å sette deg godt inn i MiFID II-forskriften, og deretter gjennomgå de eksisterende rutinene med de nye kravene. Da kan du slå fast hvor dere allerede er godt dekket – og identifisere eventuelle hull og mangler.
Det er spesielt viktig å gå grundig gjennom §1 og §2, som definerer investeringstjenester og finansielle instrumenter, samt definisjonen på verdipapirforetak og hvilke typer selskaper som er unntatt lovgivningen.
Definisjonen på investeringstjenester og finansielle tjenester er i MiFID II-forskriften sterkt utvidet, og omfatter blant annet en ny definisjon på handelsplass, noe som gjør at en del selskaper som tidligere var unntatt regelverket nå faller inn under lovgivningen.
Det er viktig å være oppmerksom på dette, og vurdere om det er produkter, personer eller avdelinger i ditt selskap som nå omfattes av den nye forskriften. Sørg for å utvide eksisterende compliance-prosedyrer slik at de også omfatte disse områdene.
Steg 2: Få oversikt over hvilke kanaler du må gjøre opptak av
MiFID II-forskriften §2.8 stiller strenge krav til dokumentasjon av kommunikasjon med kunder. I første ledd av denne paragrafen er det to punkter som er spesielt viktig å legge merke til.
For det første så er det kommet et tillegg angående «elektronisk kommunikasjon» i lovteksten:
«Dokumentasjon etter §2.7 første ledd nr. 3 skal omfatte opptak av alle telefonsamtaler og lagring av all elektronisk kommunikasjon i tilknytning til ytelse av investeringstjenester, og utførelse av investeringsvirksomhet …»
Dette innebærer at det ikke lenger er tilstrekkelig å gjøre opptak av telefonsamtaler – du må også loggføre elektronisk kommunikasjon som epost, Skype for Business, SMS, MMS, ulike chat-tjenester og lignende.
Det er derfor viktig å sørge for å få en komplett oversikt over alle kanaler selskapet bruker for å kommunisere med kunder, og deretter sørge for at ditt interne regelverk og regime for opptak og lagring også omfatter disse.
Det er to muligheter her:
- Du kan sørge for at det gjøres opptak av denne typen kommunikasjon
- Du kan gjøre disse kanalene utilgjengelige som kommunikasjonsmiddel (ref. §1.8, andre ledd)
Det andre punktet det er verdt å legge merke til er en utvidelse av definisjonen på hvilken type kommunikasjon som skal tas opp eller lagres. Det heter videre i §2.8 første ledd:
«Dokumentasjon som angitt i første punktum skal også omfatte samtaler og kommunikasjon som er ment å føre til at det ytes investeringstjenester eller utøves investeringsvirksomhet, selv om disse ikke fører til slik ytelse av tjenester eller utøvelse av virksomhet.»
Dette betyr i praksis at det ikke bare må gjøre opptak av og lagre ordrer, men all kommunikasjon som kan føre til en ordre.
Steg 3: Gjennomgå rutiner for lagring og innsyn
Den nye lovgivningen betyr i praksis at det vil være betydelig større mengder informasjon som skal lagres og håndteres på en forsvarlig og effektiv måte.
Med store mengder informasjon, fordelt på et bredt spekter av kommunikasjonskanaler, er det svært ineffektivt å lagre disse dataene på flere forskjellige steder.
En desentralisert lagring av data vil også gjøre det vanskelig å dokumentere at du har gjort tilstrekkelig for å oppfylle kravene til etterlevelse jfr. §2.7 – «Generelle krav til organisering av virksomheten».
I tillegg gjør det jobben med å etterprøve informasjon svært vanskelig for en compliance officer med en allerede travel arbeidshverdag.
Tilgangen til den lagrede informasjonen bør kontrolleres og overvåkes, og du derfor ha gode systemer for tilgangskontroll. Dersom kommunikasjonen lagres uten videre tiltak, som for eksempel kryptering, vil sannsynligvis de som administrerer lagringsmediet ha tilgang til dataene – og da blir det vanskelig å ha og kontroll på hvem som har innsyn.
Videre bør informasjonen lagres på en slik måte at den ikke kan endres på, hverken ved feil eller bevisste handlinger.
Opptak og elektronisk kommunikasjon skal nå etter forskriftens § 2.8, fjerde ledd, lagres i fem år, eller lenger dersom Finanstilsynet bestemmer det. Dette er en oppjustering av det tidligere kravet om lagring i minimum tre år.
Den beste løsningen for å sikre etterlevelse av regelverket er å lagre alle opptak – og all relevant informasjon – i ett sentralt system.
Dette vil gjøre det betydelig enklere å gå inn og etterprøve at dere gjør det dere skal for å ivareta kundens interesse – hvilket er hovedpoenget med MiFID II-forskriften.
Steg 4: Gjør opptak av interne samtaler og dokumentér alle møter
Et annet nytt krav som fulgte med MiFID II er at også interne samtaler relatert til en mulig transaksjon skal tas opp og loggføres.
Dette kan inkludere interne samtaler hvor det gis råd til en ansatt, men enda viktigere: Eksterne samtaler som blir satt videre internt.
Det er viktig at det blir gjort opptak av disse samtalene, og at du kan følge «sett-over»-funksjonen slik at du vet hvem samtalen blir satt over til. Dersom ditt selskap har interne ringesløyfer eller sentralbord er det viktig å sørge for at det gjøres korrekte opptak av disse.
Også møter og direkte kommunikasjon som ikke gjøres over telefon eller elektroniske løsninger skal nå dokumenteres.
Lovteksten §2.8, fjerde ledd, sier:
«Samtaler eller kommunikasjon som nevnt i første ledd, som ikke tas via telefon eller elektronisk, skal dokumenteres i et varig medium. Slike samtaler fra personlige møter skal registreres i skriftlige protokoller eller notater.»
Les også: Hvordan vil GDPR påvirke tiltakene du har gjort for å etterleve MiFID II
Steg 5: Opplys kunden om lagring av informasjon
MiFID II forskriften har som mål å ivareta kundens interesser på best mulig måte, og inneholder derfor også opplysningsplikt rundt opptak og lagring av informasjon.
Dette fastslås i §2.8, tredje ledd:
«Verdipapirforetak skal informere sine kunder om at telefonsamtaler eller elektronisk kommunikasjon mellom verdipapirforetaket og dets kunder vil bli tatt opp og lagret.»
Igjen ser vi at regelverket rundt elektronisk kommunikasjon er blitt skjerpet. Tidligere var det vanlig å opplyse på telefon at det ble gjort opptak av samtalen, men nå må du i tillegg gjøre kunden oppmerksom på at elektronisk kommunikasjon lagres.
Det er ikke nødvendigvis hensiktsmessig å gjøre dette over telefon, siden du kan ha kunder hvor du kun benytter deg av elektronisk kommunikasjon. I tillegg kan det påvirke kundeopplevelsen dersom det opplyses om at det gjøres lydopptak hver gang en kunde ringer inn.
Paragrafens tredje ledd sier i tillegg:
«Slik informasjon kan gis én gang før investeringstjenester ytes eller investeringsvirksomhet utøves.»
Dette betyr i enkelhet at du nå kan innarbeide dette i selskapets vilkår, men du må sørge for at kunden har lest disse. Her vil det også være enkelt å tilføye vilkår om elektronisk kommunikasjon.
Når det gjelder innsyn i lagret kommunikasjon sier forskriften følgende:
«Dokumentasjonen etter denne bestemmelsen skal på anmodning gjøres tilgjengelig for den berørte kunden …»
I tillegg omhandler §10 innsyn fra myndighetene. For best mulig etterlevelse av denne paragrafen bør du få på plass systemer som på en enkel måte kan gjøre relevant informasjonen tilgjengelig for kunder og tilsynsmyndigheter.
Dette er nok et argument for å lagre all informasjon i ett sentralt system.
Ved å samle alle data på ett og samme sted vil det bli langt enklere for deg å referere og analysere alle samtaler som er tatt opp, og gi overordnede instanser innsyn i akkurat den informasjonen de etterspør.
5 steg i riktig retning
Det er naturlig nok vanskelig å summere opp etterlevelse av et såpass omfattende direktiv som MiFID II i fem enkle punkter – men dersom du følger de ovennevnte stegene er du godt på vei for å sikre etterlevelse av de delene av direktivet som omhandler krav til dokumentasjon, og lagring av telefonopptak og elektronisk kommunikasjon.
Når alt kommer til alt handler det om å ha kontroll på hva dere lagrer av kommunikasjon, hvor dataene lagres, hvem som har tilgang til dataene og hvor lenge denne informasjonen lagres.
Nøkkelen til effektiv lagring og håndtering av informasjon er å forholde seg til ett sentralt system, der all informasjon er enkelt tilgjengelig for deg – og fullstendig utilgjengelig for alle andre.
